Azure クラウド サービス プラットフォームは初めてです。今日、Azure が提供する Key-Vault ストレージ サービスに出会いました。アプリケーションレベルのキーと設定を保存する機能があります。強化されたデータ保護により、安全で安心です。
しかし、私が明確に得ていないのは、Key-Vault に接続することです。アプリケーション構成に格納されている Key-Vault のアーティファクトが必要です。
その場合、誰かがキーの値をイブドロップする場合、彼は私の Key-Vault に接続せず、すべてのキーを読み取ることはありません。
ローカルの Key-Vault 設定を暗号化する必要がある場合は、Vault に保存するキーも暗号化できますよね?. Key-Vault の目的は何ですか?
プレーンなパスワードとは対照的に、安全なストアに保存できるクライアント証明書で認証できることに加えて、もう 1 つのポイントは、Keyvault が暗号オラクルとして機能することです。それはあなたのキーを保存し、それらを決して解放しません。暗号化操作 (暗号化、復号化など) を実行する場合は、データを Keyvault から取得するのではなく、Keyvault に送信します。これにより、攻撃者 (または管理者) がインフラストラクチャ全体に一時的にアクセスできたとしても、限られた時間だけデータにアクセスでき、実際のキーを取得することはできません。もう 1 つの利点は、すべてのアクセスを適切に監査できることです。
基本的に、あなたが探しているのは、Azure Key Vault に接続する方法です。アプリケーションがキー コンテナーを使用するには、Azure Active Directory (AD) からのトークンを使用して認証する必要があります。
Azure AD を使用している場合は、2 つの方法があります。
あなたの要件については、2つのアプローチを使用することをお勧めします。
この記事を参照してください: Azure Key Vault を使用したクライアント アプリケーションの認証。